accés à distance

salut les zoniens

dans le cadre du boulot, je dois permettre l’accés à trois machines distinctes, pour trois clients distincts
le tout en prise en main à distance (RDP) , avec un minimum d’instal chez le client.et un chouia de sécurité, s’il vous plait!

alors vous me direz let me google this for you !
et vous aurez raison.

sauf que [ol]
[li]c’est déjà fait[/li][li]si j’en suis rendu à posez la question ici, c’est que ce que j’ai trouvé ne colle pas, ou…[/li][li]…ou j’ai pas compris le pourquoi du comment.[/li][/ol]

donc,
ce que j’ai déjà fait:
on a un petit abonement NTRadmin, sauf que chez eux ils sont super gentils:
mes client sont forcement des administrateurs qui peuvent faire ce qu’ils veulent sur le poste, (y compris désinstaller le produit!), ou pire, se créer d’autre installation ntradmin pour installer le produit à leur sauces, en tapant allègrement dans notre sotck de license.c’est transparent, on a aucune visibilité!!!
Si on ajoute à celà que tout transite par les serveurs NTRadmin…–>ça va pas être possible

Pc anywhere: cool, je peux gérer les droits des utilisateurs distants, sauf que ma version vieillote(11) nécessite une ip fixe( ça j’ai ) et deux ports ouverts( je peux avoir), et un routage de port vers la machine à contrôler…sauf que des machines j’en ai trois, et que le routage d’un même port vers trois machines, ça va être compliqué.( ou alors j’ai pas compris)

teamviewer et inquiero et cie: nécéssite qu’un quidam ouvre une session, autorise l’accés au poste et delivre l’identifiant de connexion. ça n’ont plus c’est pas l’idée, les clients doivent pouvoir se connecter à n’importe quelle heure du jour (ou de la nuit).

Donc, voilà où j’en suis:
plein de possibilité, aucune qui ne satisfasse mes exigences( enfin quand je dis mes exigences…celle du boss).
je nécessite donc un peu de votre feedback, et experience perso, avez vous connaissance du produit ultime?:

pas ou peu d’installation coté "maitre"
gestion des droits du “maitre” sur le poste élève
possibilité de se connecter n’importe quand dans la mesure où le poste est allumé
qui ne donne pas des idées de sévices à mon encontre à l’administrateur réseau.

et je rajoute un siouplait à la fin…

et pourquoi pas du RDP pur & dur ? si les connexions & latence sont bonnes, ca peut le faire.
Après cela dépend des besoins utilisateurs, si c’est pour bosser sur des trucs gourmands graphiquement …
Pour la gestion des droits, tu geres ça au niveau du compte user que tu files au mec.

Sinon à plus grosse échelle, pour bosser à distance, tu as Citrix pour ce genre de besoin, aussi bien en poste user unique, XenDesktop (ou View chez VMWare), qu’en version Server avec X people dessus avec XenApp.

Salut.

Pour la prise en main, tu l’as dit toi-même tu fais du RDP.
Pour la sécurité, sur ton firewall, tu autorise leurs adresses IP à se connecter sur le port 3389 (RDP) que tu rediriges vers une des stations.

Une fois connecté sur la station à distance, ils utilisent le RDP depuis la station pour accéder aux deux autres.
Du RDP sur du RDP ça parait pas très élégant, mais ça pose aucun problème.

T’as une solution envisageable à très bas coût : tu utilises les technos déjà en place dans ta boite.

A+

Par contre change le port sur ta machine rebond :smiley: genre 3389x

Je ne te suis pas AzuKa.
Quel intérêt ? :smiley:

dans les cie Logmein pourrait-il répondre à tes attentes ?

Reuns, car c’est beaucoup plus pratique au niveau de la gestion si tu as plusieurs machines rebonds par exemple

33891 -> machine 1
33892 -> machine 2

et au niveau secu ça t’évite d’avoir le port par default d’ouvert vers l’extérieur, même si tu filtre par ip.

et un VNC tout con ?
Je crois que RealVNC peut se lancer en mode “service”, ce qui permet de se log à distance, et de choisir un compte utilisateur
je suis HS ?

Faux et archi faux.

Teamviewer permet de prendre la main sur un PC non loggué (suffit qu’il soit à l’étape de sélection des comptes).
Et une fois que ta liste de “partenaires” est définit, suffit de double cliquer sur le poste voulu pour prendre la main. On peut même définir des liste blanches/noires etc…

J’utilise ca partout, et j’en suis HYPER content.

[quote=« AzuKa, post:7, topic: 50843 »]Reuns, car c’est beaucoup plus pratique au niveau de la gestion si tu as plusieurs machines rebonds par exemple

33891 → machine 1
33892 → machine 2

et au niveau secu ça t’évite d’avoir le port par default d’ouvert vers l’extérieur, même si tu filtre par ip.[/quote]

Je suis tout à fait d’accord.
Il n’y a plus qu’à interroger en RDP en modifiant le numéro de port comme on le fait pour une page web. 81.81.81.81:33892 (c’est ce paramètre qui me posais problème, mais en fait non :smiley: )

Mici pour ta réponse.

bon,
désolé de la réponse tardive

et merci de vos reponse
(parti manger/dépanner un site distant toussa…)
visiblement le RDP “suffirait” à mes besoins

en gros je crée un compte toto@mondomaine.com avec des droits lambda
je demande à mon admin réseau d’ouvrir le port 3389 pour l’ip de client A, client b et client C
et apres de router ce port soit sur 192.168.1.1: 33891 soit 192.168.1.1: 33892 en fonction de l’ip de provenance? j’ai bon?

le client depuis chez lui doit pouvoir sorti sur le net via le port 3389 aussi je suppose, ensuite il tapera mon.ip.pub.lique:33891 ( ou 2 ou 3) dans son mstsc.exe
c’est bien ça?

[quote=“Donjohn, post:9, topic: 50843”]Faux et archi faux.

Teamviewer permet de prendre la main sur un PC non loggué (suffit qu’il soit à l’étape de sélection des comptes).
Et une fois que ta liste de “partenaires” est définit, suffit de double cliquer sur le poste voulu pour prendre la main. On peut même définir des liste blanches/noires etc…

J’utilise ca partout, et j’en suis HYPER content.[/quote]
ah ben c’est franchement pas la façon dont on l’utilise ici, (version free, je sais pas si ça change qqch)je m’en vais regarder les options avancées du bouzin

bah logmein / ntradmin même combat en fait, je vais pas proposer le pendant d’un truc qu’on utilise déjà et dont mon boss est pas satisfait

heu bof bof :smiley:

soit tu utilises une machine rebond dans une DMZ pour accéder à tes X machines (et donc rdp dans du rdp ce qui marche très bien mais un peu chiant pour l’utilisateur mais bien plus propre niveau archi)

soit tu accèdes directement à tes X machines depuis l’extérieur.

Après tu changes le port RDP que si la machine est accédée depuis l’extérieur car c’est ce qui va servir entre autre à router la request sur l’ip public+port vers la bonne machine, cad une seul machine tu fais du rebond (cas1) ou toute les machines si tu n’es fais pas.

( changer le port rdp : http://support.microsoft.com/kb/306759 )

Pour la connexion : mstsc /v:ip:port

dans ton cas le plus simple si tu maîtrise pas trop la chose, ne fait pas de rebond pour le moment le temps de bien assimiler le truc. Après la secu ou le réseau te forcera peut etre à le faire.

change le port d’écoute rdp en
33891 → machine 1
33892 → machine 2
33893 → machine 3

demande une ouverture de flux entrant & filtrage ip cliente
port 33891 vers ip machine 1
port 33892 vers ip machine 2
port 33893 vers ip machine 3

ton client aura juste à faire :
mstsc /v:ip_public:33891 → machine 1
mstsc /v:ip_public:33892 → machine 2
mstsc /v:ip_public:33893 → machine 3

Pour moi ce genre de machines doivent être en DMZ coupé du reste du SI … si tu as besoin que tes machines soient ailleurs qu’en DMZ, tu fais un rebond qui lui sera en dmz et après tu jump vers tes lan de prod & co, et si possible tu ajoutes un auth securité sur un équipement réseau et c’est bon :smiley:

[quote=« wackselwease, post:11, topic: 50843 »]visiblement le RDP « suffirait » à mes besoins

en gros je crée un compte toto@mondomaine.com avec des droits lambda
je demande à mon admin réseau d’ouvrir le port 3389 pour l’ip de client A, client b et client C
et apres de router ce port soit sur 192.168.1.1: 33891 soit 192.168.1.1: 33892 en fonction de l’ip de provenance? j’ai bon?[/quote]
Atation !
l’admin réseau doit ouvrir le port :
[ul]
[li]33891 qu’il redirigera vers la machine 192.168.1.1:3389[/li][li]33892 qu’il redirigera vers la machine 192.168.1.2:3389[/li][li]33893 qu’il redirigera vers la machine 192.168.1.3:3389[/li][/ul]
Après, tu limites ces transferts de ports aux ip publique des personnes concernées (a toi de voir si 1 IP = 1 machine ou si les 3 IP doivent pouvoir accéder à toutes les machines, mais là tu dois pouvoir te débrouiller tout seul).

[quote=« wackselwease, post:11, topic: 50843 »]le client depuis chez lui doit pouvoir sorti sur le net via le port 3389 aussi je suppose, ensuite il tapera mon.ip.pub.lique:33891 ( ou 2 ou 3) dans son mstsc.exe
c’est bien ça?[/quote]
Oui.

Edit: Arf … grilled. :smiley:

[quote=« Reuns, post:13, topic: 50843 »][ul]
[li]33891 qu’il redirigera vers la machine 192.168.1.1:3389[/li][li]33892 qu’il redirigera vers la machine 192.168.1.2:3389[/li][li]33893 qu’il redirigera vers la machine 192.168.1.3:3389[/li][/ul][/quote]

tu rediriges pas vers 3389 :smiley: c’est pas du tunneling
tu rediriges bien vers 33891, 33892 sur les ip correspondantes

[quote=« AzuKa, post:14, topic: 50843 »]tu rediriges pas vers 3389 :smiley: c’est pas du tunneling
tu rediriges bien vers 33891, 33892 sur les ip correspondantes[/quote]

Si tu translates pas le port, faudra configurer le port d’écoute de Remote Desktop de chaque machine cible pour qu’il corresponde.
Donc si, il doit faire une règle de ippublique:33891 → 192.168.1.1:3389, etc.

déjà merci à tous pour vos réponses, j’ai appris plein de truc…
reste à choper l’admin réseau… :smiley:

[quote=« AzuKa, post:14, topic: 50843 »]tu rediriges pas vers 3389 :smiley: c’est pas du tunneling
tu rediriges bien vers 33891, 33892 sur les ip correspondantes[/quote]

ah tiens, on peut pas faire ce genre de truc?
par ce qu’en fait ça m’arrangerai assez de pouvoir laisser le port par defaut ,histoire de pas avoir à se rappeler que pour ces stations là bah faut changer le port

pas sur que dans deux ans on se rappelle que pour ces 3 pauvre stations il faut changer.
c’est que j’aime l’uniformité de mon parc moi…hem

[quote=« Coldorak, post:15, topic: 50843 »]Si tu translates pas le port, faudra configurer le port d’écoute de Remote Desktop de chaque machine cible pour qu’il corresponde.
Donc si, il doit faire une règle de ippublique:33891 → 192.168.1.1:3389, etc.[/quote]
ah bah voilà, c’est plus ça que je pensais.

[quote=« AzuKa, post:12, topic: 50843 »]change le port d’écoute rdp en
33891 → machine 1
33892 → machine 2
33893 → machine 3[/quote]

[quote=« Coldorak, post:15, topic: 50843 »]Si tu translates pas le port, faudra configurer le port d’écoute de Remote Desktop de chaque machine cible pour qu’il corresponde.
Donc si, il doit faire une règle de ippublique:33891 → 192.168.1.1:3389, etc.[/quote]

oui oui, j’avais dis un post plus haut de changer le port d’ecoute de chaque machine :smiley:
perso j’aime pas trop la translation car c’est plus chez moi généralement et je dépend trop du réseau dans ce cas la mais ça marche aussi très bien :smiley:

Bon alors on m’a demandé de faire un truc similaire : prise de contrôle à distance pour utiliser des softs qui sont sur l’ordi dont on prend le contrôle. J’ai cherché et je suis tombé là-dessus (j’en avais un vague souvenir) mais j’ai quand même un doute : comme ton ordi client peut accéder à l’ordi à distance avec son simple nom ? je veux dire il doit y avoir des masses de pc qui ont les même noms j’imagine ?

Deuxièmement, comment je fais si j’ai deux windows XP home ? Je dois obligatoirement passer par un truc genre vnc ? J’ai cru voir des manips pour “transformer” XP home en Pro mais je suis pas très sûr.

EDIT : est-ce que Hamachi/Log me In permet un truc genre prise de contrôle dans sa version gratuite ?

Moi j’utilise Team Viewer, et c’est on ne peut plus simple.

Pour les noms, le lien que tu envoie ne fonctionne que sur un réseau local ou tous les PC sont censés voir des noms différents. Concernant XP Home/Pro, Remote Desktop doit fonctionner sur du Home à mon avis, c’est justque que l’on ne peux ouvrir qu’une session et si quelqu’un travaille déjà sur le poste, le lockscreen devrait s’afficher.

Pour VNC, ça permet de prendre le contrôle à distance sans l’inconvénient ci-dessous, l’utilisateur peux voir en même temps ce que fait la personne qui contrôle le PC à distance.